Solved
Eggy 2 AV7210/11 - Sicherheit
4 years ago
Hallo,
mir kommt es so vor als würde die Kamera durchgängig filmen. Wie wäre es sonst möglich die Zeit vor dem Alarm aufzuzeichnen? Daher meine Frage: Kann sich jemand über das Internet auf die Kamera aufschalten oder ist es sicher? Muss man bei den Einstellungen der Kamera irgendetwas beachten damit sie abgesichert ist? Das Admin Passwort habe ich natürlich geändert.
Vielen Dank!
858
16
This could help you too
Solved
in
421
0
2
Solved
in
610
0
3
Accepted Solution
accepted by
4 years ago
https://manuals.smabit.eu/lde/av7210_11.html
7
Answer
from
4 years ago
@CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten.
Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
Die zweite Möglichkeit ist, du gibst dem Router eine statische Route für die entsprechenden Geräte ( Kameras ) die dann am Ende in MSH eingebunden werden sollen. so wird die Kamera dann sichtbar.
spontan fällt mir gerade noch eine eventuell dritte Möglichkeit ein. Man könnte die subnetzmask ein wenig überlappen lassen , hier dann auch die entsprechende Kamera in der Firewall für die ip von der homebase dann freigeben das sie sich untereinander sehen.
Letztendlich muss man halt extrem tief in sein Netzwerk eingreifen und eben dabei dann wieder aufpassen das die ip der Kamera nicht letztendlich wieder offen liegt.
Das ist mit mehreren regeln in der Firewall und verschiedene statische Routen aber möglich.
Auch dann wenn MSH das nicht selbst kann.
Du kannst zum Beispiel bei UniFi ( nur hier hab ich’s bereits gemacht ) im router für die Kamera eine ip in einem anderen VLan freigeben.
Letztendlich kann man theoretisch sogar so das admin Passwort der Kamera ganz weg lassen ( bei MSH nicht möglich ) .
Wenn also nur noch die Handys die den VLan Zugriff über den VPN den Zugriff haben, können auch nur noch diese Geräte am Ende darauf zugreifen. Natürlich muss hier der Weg zum MSH Server offen bleiben da sonst logischerweise nix mehr geht.
Die Schwachstelle ist somit dann nicht mehr zuhause sondern die Telekom selbst.
Solange man da vertrauen hat…
Das ist ja der punkt den ich später definitiv noch ändern will. Keine externe clouds mehr.
edit: das mit der subnetzmask scheint nicht zu klappen .
Die anderen beiden Lösungen klappen.
Answer
from
4 years ago
@CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten. Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
@CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten.
Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
Hm, dann packt man ja auch wieder alles in ein Netzwerk rein denn dahinter hängt ein kompletter Rattenschwanz. Dann muss nämlich auch die HUE-Bridge, das Gardena-Gateway und die Sonos in das Netz und da der Sonos-Controller vom Smartphone nur im gleichen Netz nach Geräten sucht müssen auch alle Handys, Tablets, PCs etc wieder in das selbe Netz.
Die zweite Möglichkeit ist, du gibst dem Router eine statische Route für die entsprechenden Geräte ( Kameras ) die dann am Ende in MSH eingebunden werden sollen. so wird die Kamera dann sichtbar.
Die zweite Möglichkeit ist, du gibst dem Router eine statische Route für die entsprechenden Geräte ( Kameras ) die dann am Ende in MSH eingebunden werden sollen. so wird die Kamera dann sichtbar.
Okay, damit hab ich mich noch nie außeinandergesetzt.
Mal schauen ob ich das mal mache, bisher gab es keine Notwendigkeit dafür bzw. wenn halt solche Dinge nicht gingen (wie die Doorbird in MSH einbinden) dann hab ich es einfach sein lassen da ich das nicht brauche.
Answer
from
4 years ago
RomanoDrews @CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten. Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst. @CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten. Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst. RomanoDrews @CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten. Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
@CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten. Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
@CobraCane vom Prinzip her gibt es hier zwei Möglichkeiten.
Die einfachste ist, du packst beide ins selbe VLan , und sicherst das Netz dann eben entsprechend iot Geräte ab, sodass du nur noch über einen VPN auf dieses Netzwerk zugreifen kannst.
...
Hm, dann packt man ja auch wieder alles in ein Netzwerk rein denn dahinter hängt ein kompletter Rattenschwanz. Dann muss nämlich auch die HUE-Bridge, das Gardena-Gateway und die Sonos in das Netz und da der Sonos-Controller vom Smartphone nur im gleichen Netz nach Geräten sucht müssen auch alle Handys, Tablets, PCs etc wieder in das selbe Netz.
Ja genau das ist richtig.
Grundsätzlich sollte man ja sowieso seine IoTR Geräte alle in ein VLAN legen und vom Hauptrechner sowie auch das Gast WLAN Trennen von einander. (Praktisch ist das nicht, aber sicherer da IoT geräte gerne mal als BOTE NETZ für Hacker missbraucht werden um Einfach webseite aufzurufen, also einfache Überlastungsatacken auf andere Systeme im Internet.)
Und die sicherheit unserer IoT Geräte dürfte bei den meisten Günstigen Gerätschaften extrem gering sein.
Ich kann dir jetzt keine Geräte nennen die gefärdet sind.
Ich denke mal da gehört einfach alles dazu was Smart ist und liber verkauft als von Sicherheit gesprochen wird.
Da gabs ja bereits Hacks das Smarte Geräte (Ich glaube SONY wars ) Lahm gelegt wurde, das waren alles SmartHome Geräte die die Webseite von Sony angepingt haben und keine PCs.
Die Smarte Kamera und der Kühlschrank der Selbst bestellt ist 24/7 Eingeschaltet, der PC nicht.
Grundsätzlich ist also die Kamera oder der Smarte Toaster besser dazu geeignet für Häcker, da diese Geräte wohl kaum geschützt sind, und nen einfachen Ping kann jedes Gerät ins internet senden
Zusammen haste nen Bot Net
Und wenn man nicht gerade ein Netzwerk hat das das Traffic aufzeichnet, wüsste man auch niemals zuhause was die Alexa neben einem so treibt wenn sie gar nicht benutzt wird.
Okay, damit hab ich mich noch nie außeinandergesetzt. Mal schauen ob ich das mal mache, bisher gab es keine Notwendigkeit dafür bzw. wenn halt solche Dinge nicht gingen (wie die Doorbird in MSH einbinden) dann hab ich es einfach sein lassen da ich das nicht brauche.
Okay, damit hab ich mich noch nie außeinandergesetzt.
Mal schauen ob ich das mal mache, bisher gab es keine Notwendigkeit dafür bzw. wenn halt solche Dinge nicht gingen (wie die Doorbird in MSH einbinden) dann hab ich es einfach sein lassen da ich das nicht brauche.
Ich habe mich seit dem ich mit UniFi und dem völlig übertriebenen Serverschrank angefangen habe zu basteln, damit beschäftigt, wie so ein Netzwerk Grundsätzlich funktioniert.
Und da ich dann auf Unifi gekommen bin, das nicht nur Schick aussieht sondern für das etwas mehr Geld auch pervers viel kann...
Statistiken bis ins aller Letzte.
Ich kann meinen Gästen im Wlan sogar sagen wer auf welchen Pornoseiten war ^^
(Gastwelan aufgebaut wie ein Hotel WLAN wo du erst unsere Nutzungsbedingungen Akzeptieren musst bevor du Internetzugriff hast ähnlich wie Free Wifi im Hotel oder Supermarkt) Es weis also jeder was ich als Admin sehe.
Dazu kommt, jedes Netzwerkkabel, jedes Wlan gerät zeigt penibel genau jeden Datenfluss an.
Und ich kann für jedes Gerät im Netzwerk Regeln und Routen erstellen.
Ich kann dadurch in Sekunden neue VLANs Routen und das Vlan an bestimmten Netzwerk Ports nicht ausgeben lassen.
So kann ih Theoretisch das Netzwerk von Drinnen und im Garten nicht nur Virtuell sondern auch Physikalisch trennen und Trotzdem haben Geräte von drinnen und Draußen gegenseitig Zugriff.
Aber eben nur das eine Gerät das es soll und dessen MAC Adresse.
Ich hab damit angefangen weil ich wegen der IoT Sicherheit eben bedenken hatte.
Was währe wenn ich auch einmal im Internt ohne mein Wissen zu finden bin.
Und vor allem was ist mit meinen Daten, ich will wissen was damit passiert.
Und mit der Hüpschen Optik bei Unifi, macht das ganze sogar Spaß.
Per App und per Weblogin Administrierbar.
Und dadurch das meine Eltern auch so ein netzwerk haben, kann ich beides Zeitgleich aus einer App steuern.
Das hat auch den Vorteil untereinander Synologys zu spiegeln.
Ich kann so aus 2 Verschiedene Netzwerke ein einziges Netzwerk machen.
Bedeutet mein PC hat die IP: 192.168.20.1 und der PC bei meinem Vater 200 Kilometer weiter hat die IP 192.168.20.2
Unter Netzwerk sehen sie sich dann beide wenn sie Online sind, und ich kann so Tun als würde das gesammte Netzwerk meiner eltern einfach hier sein.
(Das ist halt auch so ein Grund wieso man zwingend dauerhaft schnelles Internet benötigt, weil sich da die ganze Zeit einfache Packete schon im Netzwerk Hochschaukeln wie Ping anfragen und so weiter)
Unlogged in user
Answer
from
Accepted Solution
accepted by
4 years ago
@daniel_w , aber um nochmal auf deinen Beitrag einzugehen.
Vom pronziep musst du solange du ein normales privates Netz hast, auf den Hersteller der Kamera vertrauen das hier kein Loch in der Software der Kamera ist.
Das du dein Passwort geändert hast ist soweit erstmal richtig und es kann nicht jeder darauf zugreifen.
Vom Prinzip bist du so abgesichert wie die meisten Haushalte die es normal richtig machen.
Richtig sicher gegen einen gewollten Hack ist das aber nicht.
Das wird es erst dann, wenn du mit sehr viel einlesen rein Heimnetzwerk erst richtig mit hardware absicherst.
Prinzipiell ist es niemals falsch hier dazu zu lernen.
Sobald man zuhause ein administriertes Netz eingerichtet hast und entsprechend die Firewall und vlans richtig eingerichtet sind bist du möglichst hoch geschützt.
Hört sich für den ein oder anderen gruselig an.
Aber bestimmt 90% aller Privathaushalte wenn nicht noch mehr tun gar nichts für ihre Sicherheit im Internet.
Eventuell beschäftigst du dich mal etwas mit dem Begriff: IoT Sicherheit
Gibt viel auf YouTube darüber zu gucken oder auf Google zu lesen.
Das bedeutet aber erstmal nicht das du sofort in Angst versetzt sein musst.
Grundsätzlich würde ich Kameras nur da aufhängen wo man keine Privatsphäre braucht oder in kritischen Bereichen die Kamera im SmartHome mit einem zwischenstecker via regeln aus schalten lassen. ( ich hab selbst im Schlafzimmer ne Kamera , die ist aber nur dann an wenn wir nicht zuhause sind ) sofern die Kamera mal an sein sollte und wir zuhause sind werden wir per Beleuchtung darauf hingewiesen .
6
Answer
from
4 years ago
@RomanoDrews kann ich den Zwischenstecker für die Kamera auch an einem freien Platz in einer Mehrfachsteckdosenleiste einstecken? Die Kamera sonst auszuschalten gibt mir ein höheres Sicherheitsgefühl.
Answer
from
4 years ago
kann ich den Zwischenstecker für die Kamera auch an einem freien Platz in einer Mehrfachsteckdosenleiste einstecken?
Ja, das geht.
Grüße
Peter
Answer
from
4 years ago
Hallo @daniel_w , ja das kannst du.
Ich habe das selbst auch an einigen Stellen so.
Unlogged in user
Answer
from
4 years ago
die richtige Antwort auf deine Frage hat eigentlich @Has schon gegeben. Ja, die Kamera muss natürlich immer mitfilmen, das landet aber nicht auf der Speicherkarte und die Daten sind nicht auslesbar. Gespeicherte Aufnahmen gibt es also wirklich erst dann, wenn ein Ereignis ausgelöst wurde, das eine Aufnahme starten soll.
Grüße
Peter
0
Unlogged in user
Ask
from